웹 브라우저의 명령 모음에 인터넷 쇼핑몰 관련 툴바(Toolbar)를 생성하며, 시스템 시작시 추가적인 수익성 프로그램을 설치할 수 있는 "스마트모드(SmartMode)" 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 파일(MD5 : 2afb74164428cbc0fae674f3bb4e1901)에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.SmartMode (VirusTotal : 30/46) 진단명으로 진단되고 있습니다.
▷ 검색 도우미 : 스마트모드(SmartMode) (2011.7.18)
또한 2011년경부터 스마트모드(SmartMode) 프로그램은 존재하였으며, 현재는 파일 구성 일부가 변경되어 프로그램 삭제시 정상적으로 삭제되지 않는 부분이 확인되고 있습니다.
C:\Documents and Settings\All Users\Application Data\SmartMode
C:\Documents and Settings\All Users\Application Data\SmartMode\0.ico
C:\Documents and Settings\All Users\Application Data\SmartMode\1.ico
C:\Documents and Settings\All Users\Application Data\SmartMode\2.ico
C:\Documents and Settings\All Users\Application Data\SmartMode\3.ico
C:\Documents and Settings\All Users\Application Data\SmartMode\4.ico
C:\Documents and Settings\All Users\Application Data\SmartMode\5.ico
C:\Documents and Settings\All Users\Application Data\SmartMode\6.ico
C:\Documents and Settings\All Users\Application Data\SmartMode\7.ico
C:\Documents and Settings\All Users\Application Data\SmartMode\8.ico
C:\Documents and Settings\All Users\Application Data\SmartMode\9.ico
C:\Documents and Settings\All Users\Application Data\SmartMode\a.ico
C:\Documents and Settings\All Users\Application Data\SmartMode\b.ico
C:\Documents and Settings\All Users\Application Data\SmartMode\c.ico
C:\Documents and Settings\All Users\Application Data\SmartMode\WebInfo.txt
C:\Program Files\smartmode
C:\Program Files\smartmode\smartmode.dll :: BHO 등록 파일
C:\WINDOWS\system32\smartmode_se.exe :: 서비스(SmartMode Update Service) 등록 파일
C:\WINDOWS\system32\smartmodeu.exe
C:\WINDOWS\system32\uninst_smartmode.exe :: 프로그램 삭제 파일
C:\WINDOWS\system32\smartmode_se.exe
- MD5 : 59a544cf4b46e16ee38119667d113d1d
- nProtect : Adware/W32.KrAdword.56320 (VirusTotal : 25/46)
C:\WINDOWS\system32\smartmodeu.exe
- MD5 : 820a5f3135ef07aa336e081c537c6a07
- Kaspersky : HEUR:Trojan-FakeAV.Win32.Onescan.gen (VirusTotal : 29/46)
C:\WINDOWS\system32\uninst_smartmode.exe
- MD5 : f7f19ae05809fbf8f816fe1a175a2fd0
- AhnLab V3 : PUP/Win32.SmartMode (VirusTotal : 25/46)
해당 프로그램은 "C:\Program Files\smartmode" 폴더와 Windows 시스템 폴더에 파일들을 분리하여 생성하며, "SmartMode Update Service(SmartMode Support Service)" 서비스 항목을 등록하여 시스템 시작시 ["C:\WINDOWS\system32\smartmode_se.exe" /service] 파일을 자동 실행하도록 구성되어 있습니다.
자동 실행된 서비스 파일(smartmode_se.exe)은 smartmodeu.exe 파일을 로딩하여 프로그램 버전 체크를 수행하며, 추가적으로 번들(Bundle) 프로그램 체크를 통해 추가된 수익성 프로그램이 존재할 경우 업데이트 창을 생성할 것으로 추정됩니다.
스마트모드(SmartMode) 프로그램이 설치된 환경에서 웹 브라우저의 명령 모음에 다양한 인터넷 쇼핑몰 바로가기를 제공하는 "SmartMode" 툴바(Toolbar)를 생성합니다.
[추가 기능 관리 : 도구 모음 및 확장 프로그램]
이름 : SmartMode
게시자 : UCF
유형 : 도구 모음
CLSID : {EB291D96-1D76-450D-90E4-BE798BA796E8}
파일 : C:\Program Files\smartmode\smartmode.dll
이름 : SmartMode
게시자 : UCF
유형 : 브라우저 도우미 개체
CLSID : {EB291D96-1D76-450D-90E4-BE798BA796E8}
파일 : C:\Program Files\smartmode\smartmode.dll
SmartMode 툴바 기능을 중지하기 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "SmartMode" 항목을 선택하여 "사용 안 함"으로 변경하시면 됩니다.
프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "SmartMode" 삭제 항목을 통해 삭제할 수 있도록 지원하고 있습니다.
- C:\Program Files\smartmode
- C:\Program Files\smartmode\smartmode.dll
하지만 해당 삭제 기능을 통해서는 "C:\Program Files\smartmode" 폴더와 내부 파일만 삭제가 이루어지며, 외형적으로는 SmartMode 툴바가 삭제되어 모든 프로그램이 제거된 것으로 보입니다.
하지만 Windows 시스템 폴더에 생성된 smartmode_se.exe, smartmodeu.exe 파일은 서비스 등록값을 이용하여 시스템 시작시마다 동작할 수 있습니다.
이로 인하여 특정 시점에서 시스템 부팅시 업데이트 창 생성을 통한 사용자의 부주의한 동의 과정을 통해 원치 않는 다수의 수익성 프로그램들이 설치될 수 있습니다.
그러므로 제어판을 통한 스마트모드(SmartMode) 프로그램 삭제 후 추가적으로 다음과 같은 수동 삭제 과정을 거치시기 바랍니다.
(1) 실행창에 [sc delete "SmartMode Update Service"] 명령어를 입력하여 서비스 등록값을 삭제하시기 바랍니다.
(2) 다음의 폴더(파일)를 찾아 수동으로 삭제하시기 바랍니다.
- C:\Documents and Settings\All Users\Application Data\SmartMode
- C:\Documents and Settings\All Users\Application Data\SmartMode\0.ico
- C:\Documents and Settings\All Users\Application Data\SmartMode\1.ico
- C:\Documents and Settings\All Users\Application Data\SmartMode\2.ico
- C:\Documents and Settings\All Users\Application Data\SmartMode\3.ico
- C:\Documents and Settings\All Users\Application Data\SmartMode\4.ico
- C:\Documents and Settings\All Users\Application Data\SmartMode\5.ico
- C:\Documents and Settings\All Users\Application Data\SmartMode\6.ico
- C:\Documents and Settings\All Users\Application Data\SmartMode\7.ico
- C:\Documents and Settings\All Users\Application Data\SmartMode\8.ico
- C:\Documents and Settings\All Users\Application Data\SmartMode\9.ico
- C:\Documents and Settings\All Users\Application Data\SmartMode\a.ico
- C:\Documents and Settings\All Users\Application Data\SmartMode\b.ico
- C:\Documents and Settings\All Users\Application Data\SmartMode\c.ico
- C:\Documents and Settings\All Users\Application Data\SmartMode\WebInfo.txt
- C:\WINDOWS\system32\smartmode_se.exe
- C:\WINDOWS\system32\smartmodeu.exe
- C:\WINDOWS\system32\uninst_smartmode.exe
(3) 레지스트리 편집기(regedit)를 실행하여 다음의 값이 존재할 경우 삭제하시기 바랍니다.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer
- SmartMode_top2 = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\SmartMode.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EB291D96-1D76-450D-90E4-BE798BA796E8}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6FDEE381-5B2E-42A5-AD40-4EC3672E9AD7}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SmartModeToolbar.IEController
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SmartModeToolbar.IEController.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{01EA19CD-529D-4D04-8C74-97990C327FB0}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Application Compatibility
- easycome = (6자리 숫자)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{EB291D96-1D76-450D-90E4-BE798BA796E8}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar
- {EB291D96-1D76-450D-90E4-BE798BA796E8} = SmartMode
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{EB291D96-1D76-450D-90E4-BE798BA796E8}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
smartmode
HKEY_LOCAL_MACHINE\SOFTWARE\smartmode
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SMARTMODE_
UPDATE_SERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SmartMode Update Service
해당 프로그램은 기존부터 배포자의 의도에 따라 업데이트 창 생성을 통해 다양한 수익성 프로그램의 설치를 유도하고 있으므로 주의하시기 바랍니다.